UAC-0099, un grupo de actores de amenaza sofisticado que ha estado activo desde al menos 2022, continúa planteando una importante amenaza de seguridad cibernética a través de sus campañas en evolución de los aspiraciones cibernéticas dirigidas a las agencias gubernamentales, organizaciones militares y entidades de defensa-industriales de defensa.
El grupo ha demostrado una notable adaptabilidad en tres fases operativas principales que abarcan 2023 a 2025, refinando sistemáticamente su juego de herramientas al tiempo que mantiene tácticas centrales consistentes que han demostrado ser efectivas contra sus objetivos previstos.
La aparición inicial del actor de amenaza estuvo marcado por el despliegue de LonePage, un cargador con sede en PowerShell que sirvió de base para sus operaciones maliciosas a lo largo de 2022 y 2023.
Esta encarnación temprana estableció la preferencia de UAC-0099 por correos electrónicos de phishing de lanza que contienen archivos adjuntos maliciosos, particularmente aquellos disfrazados de documentos legales como citaciones o citaciones judiciales.
La capacidad del grupo para aprovechar las tácticas de ingeniería social, combinada con su sofisticación técnica, les ha permitido comprometer con éxito los objetivos de alto valor en los sectores críticos de infraestructura de Ucrania.
A finales de 2024, UAC-0099 había desarrollado significativamente sus mecanismos de entrega, incorporando la explotación de la vulnerabilidad de Winrar CVE-2023-38831 junto con sus enfoques de phishing tradicionales.
Simkra, analista e investigador, anotado que este período de transición marcó un cambio crucial en la metodología operativa del grupo, introduciendo un enfoque de cargador de dos etapas más complejo que mejoró sus capacidades de evasión.
Campañas en secuencia (Fuente – Medium)
Los atacantes comenzaron a encriptar sus cargas útiles de PowerShell utilizando el cifrado 3DES y almacenarlos en archivos como App.lib.conf, mientras utilizan componentes binarios .NET como update.win.app.com para descifrar y ejecutar el código malicioso en la memoria.
La transformación más dramática ocurrió a mediados de 2015 con la introducción de un suite de malware C# completamente nuevo que comprende Matchboil, Matchwok y Dragstare.
Esto representa una revisión completa de su infraestructura técnica, lo que demuestra el compromiso del grupo de mantener la efectividad operativa a pesar del aumento de la conciencia de seguridad y las medidas defensivas.
Flujo de ataque diferentes campañas, mismos TTP para PowerShell, transferencia de herramientas de ingreso, claves de ejecución de registro y exfiltración, etc. (Fuente – Medium)
El nuevo conjunto de herramientas muestra una sofisticación mejorada en las comunicaciones de comando y control, capacidades de exfiltración de datos y características anti-análisis diseñadas para frustrar a los investigadores de seguridad y los sistemas de detección automatizados.
Mecanismos avanzados de persistencia y evasión
Las tácticas de persistencia de UAC -0099 revelan una comprensión sofisticada de la arquitectura del sistema operativo de Windows y las prácticas administrativas comunes.
El grupo emplea constantemente las tareas programadas como su mecanismo de persistencia principal, creando tareas con nombres engañosamente legítimos como “OnedriveUpdateCorefilesstart” y “FileExplorerUpdatetaskmachineCore” que se mezclan sin costura en las actividades de mantenimiento del sistema típicas.
Estas tareas están programadas para ejecutarse a intervalos frecuentes, a menudo cada 3-4 minutos, asegurando la operación continua de malware mientras se mantiene un perfil bajo.
El cargador MatchBoil 2025 ejemplifica sus técnicas de ofuscación avanzada a través de su enfoque de codificación de múltiples capas.
El malware recupera las cargas útiles ocultas dentro de contenido web aparentemente inocuo, buscando específicamente datos integrados entre etiquetas de script que experimentan procesos de decodificación HEX y BASE64:——-
Esta técnica permite al malware disfrazar el comando y controlar las comunicaciones como tráfico web legítimo, lo que hace que la detección sea significativamente más desafiante para los sistemas de monitoreo de seguridad de red.
MatchBoil mejora aún más sus capacidades de sigilo mediante la generación de identificadores de host únicos utilizando ID de CPU, números de serie BIOS y direcciones MAC, que se transmiten a través de encabezados HTTP personalizados etiquetados como “SN” durante las comunicaciones de comando y control.
Las técnicas disfrazadas del grupo se extienden más allá de la simple ofuscación del nombre de archivo para incluir la colocación estratégica de archivos maliciosos en directorios que imitan las ubicaciones legítimas del sistema.
Los archivos se almacenan comúnmente en rutas como %LocalAppData %\ DevicesMonitor \ y %AppData %\ Microsoft \ Windows \ plantillas \, aprovechando la familiaridad del usuario con las estructuras de directorio de Microsoft para evitar sospechas.
Además, UAC-0099 demuestra conciencia de la detección de herramientas de seguridad al incorporar las verificaciones de anti-análisis para procesos comunes de depuración y monitoreo, incluidos IDAQ, Fiddler, Wireshark y OllyDBG, lo que hace que su malware modifique el comportamiento o termine cuando se detectan dichas herramientas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
